Privacidade de localização geográfica em consultas a serviços públicos Web de localização : uma abordagem baseada em médias aleatórias

Texto

(1)Rick’ardo Debiazze Nunes Vieira. Privacidade de localização geográfica em Consultas a Serviços Públicos Web de Localização: Uma abordagem baseada em médias aleatórias. Vitória - ES, Brasil 18 de agosto de 2010.

(2) Rick’ardo Debiazze Nunes Vieira. Privacidade de localização geográfica em Consultas a Serviços Públicos Web de Localização: Uma abordagem baseada em médias aleatórias Dissertação apresentada para obtenção do Título de Mestre em Informática pela Universidade Federal do Espírito Santo.. Orientador:. Magnos Martinello Co-orientador:. Cesar Augusto C. Marcondes. Departamento de Informática Centro Tecnológico Universidade Federal do Espírito Santo. Vitória - ES, Brasil 18 de agosto de 2010.

(3) Dissertação de Mestrado sob o título “Privacidade de localização geográfica em Consultas a Serviços Públicos Web de Localização: Uma abordagem baseada em médias aleatórias ”, defendida por Rick’ardo Debiazze Nunes Vieira e aprovada em 18 de agosto de 2010, em Vitória, Estado do Espírito Santo, pela banca examinadora constituída pelos professores:. Prof. Dr. Magnos Martinello Orientador. Prof. Dr. Cesar Augusto C. Marcondes Co-orientador Universidade Federal de São Carlos. Prof. Dr. José Gonçalves Pereira Filho Universidade Federal do Espírito Santo. Prof. Dr. Artur Ziviani Laboratório Nacional de Computação Científica.

(4) Resumo A crescente demanda por Serviços Baseados em Localização (SBLs) tem despertado a necessidade de soluções que considerem a privacidade das consultas efetuadas a SBLs públicos. As abordagens atualmente propostas apoiam-se, principalmente, na construção de uma região espacial de anonimização (ASR) baseada em um retângulo que contenha o usuário consultante e, pelo menos, outros K − 1 usuários, estabelecendo, assim, um nível K de anonimidade para a consulta realizada. Paralelamente, infraestruturas P2P têm sido elaboradas para suportar a carga de mobilidade que vem caracterizando boa parte dos usuários de SBLs, haja vista o notável avançado tecnológico que proporcionou a disponibilização de modernos recursos (como capacidade de processamento do sinal GPS) em aparelhos portáteis, tais como os smartphones. Contudo, as respostas obtidas dos SBLs, considerado o contexto das pesquisas realizadas, limitam-se à indicação dos pontos de interesse mais próximos da localização do usuário consultante, não sendo capazes de indicar uma rota para o destino apontado. O presente trabalho visa apresentar a proposta AnoniMobi, cujo objetivo principal é fornecer rotas para pontos de interesse como resposta a consultas anônimas efetuadas a SBLs públicos, garantindo o nível de privacidade requerido pelo usuário consultante. A abordagem desenvolvida desvincula-se de propostas tradicionais para formação de região espacial de anonimização (ASR) ao considerar o uso de pontos (médias aleatórias) que permitem agrupar coordenadas de modo não-determinístico. Adicionalmente, uma infraestrutura P2P baseada na arquitetura CAN é elaborada como suporte à auto-organização necessária para estruturar e agrupar os usuários do sistema..

(5) Abstract The increasing demand for Location-Based Services (LBSs) has increased the need for solutions that consider the privacy of queries in public LBSs. The currently proposed approaches rely mainly on the construction of an anonymizing spatial region (ASR) based on a rectangle containing a user consultant and at least other K − 1 users, thereby setting a K level of anonymity for the query performed. In parallel, P2P infrastructures have been designed to bear the burden of mobility that has characterized much of LBSs users, given the remarkable technological advance that provided the availability of modern resources (such as processing of the GPS signal) on portable devices, such as smartphones. However, the answers obtained from LBSs, considering the context of research conducted, is limited to the indication of points of interest near the consultant user’s location, not being able to indicate a route to the destination indicated. This paper aims at presenting the proposal AnoniMobi, whose main objective is to provide routes to points of interest in response to anonymous queries made to public LBSs, ensuring the privacy level requested by the consultant user. The approach separates itself from traditional proposals for formation of spatial region anonymization (ASR) when considering the use of points (random means) that allow you to group coordinates in a non-deterministic way. Additionally, an infrastructure based on CAN P2P architecture is designed to support self-organization needed for structuring and grouping users of the system..

(6) Dedicatória Dedico este trabalho à minha esposa, Ediane de Sousa Lima, companheira fiel que concordou em suportar minha ausência para que eu pudesse dar vida a este trabalho..

(7) Agradecimentos Agradeço a Deus pela oportunidade de aprendizado técnico através das pesquisas realizadas. Agradeço mais ainda pelo aprendizado moral e ético obtido através do convívio com as pessoas. Agradeço ao professores Magnos Martinello e Cesar Augusto C. Marcondes por terem aceitado a tarefa de orientar-me e, sobretudo, fazer-me compreender o sentido de um Mestrado. Agradeço aos amigos e parentes, que entenderam a necessidade de ausência (e, de certo modo, de isolamento) para a conclusão das tarefas..

(8) Sumário. Lista de Figuras Lista de Tabelas 1 Introdução. p. 13. 1.1. Contexto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. p. 14. 1.2. Estrutura da Dissertação . . . . . . . . . . . . . . . . . . . . . . . . . .. p. 16. 2 Trabalhos Relacionados. p. 18. 2.1. Anonimidade-K . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. p. 19. 2.2. Consultas anônimas a SBLs públicos . . . . . . . . . . . . . . . . . . .. p. 19. 2.3. Posicionamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. p. 24. 3 Serviços Baseados em Localização. p. 25. 3.1. Breve Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. p. 26. 3.2. Uma Taxonomia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. p. 26. 3.3. Algumas Aplicações . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. p. 28. 3.4. A Respeito da Localização . . . . . . . . . . . . . . . . . . . . . . . . .. p. 31. 3.5. O Problema do Posicionamento . . . . . . . . . . . . . . . . . . . . . .. p. 32. 4 Redes Par-a-Par e Mobilidade. p. 36. 4.1. Definições, Benefícios e Desvantagens . . . . . . . . . . . . . . . . . . .. p. 37. 4.2. Princípios do Paradigma P2P . . . . . . . . . . . . . . . . . . . . . . .. p. 40. 4.3. Protocolos de Pesquisa e Roteamento. p. 43. . . . . . . . . . . . . . . . . . ..

(9) 4.3.1. Arquiteturas Não-Estruturadas . . . . . . . . . . . . . . . . . .. p. 43. 4.3.2. Arquiteturas Estruturadas . . . . . . . . . . . . . . . . . . . . .. p. 44. Chord . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. p. 44. Content-Addressable Network – CAN . . . . . . . . . . . . . . . . . . .. p. 47. 4.3.3. p. 50. Comparação entre as Abordagens . . . . . . . . . . . . . . . . .. 5 Curvas de Preechimento. p. 54. 5.1. Noções Preliminares . . . . . . . . . . . . . . . . . . . . . . . . . . . .. p. 55. 5.2. A Curva de Hilbert . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. p. 58. 5.2.1. p. 59. Características da Curva de Hilbert . . . . . . . . . . . . . . . .. 6 Algoritmos de Agrupamento. p. 62. 6.1. Definição e Conceito . . . . . . . . . . . . . . . . . . . . . . . . . . . .. p. 63. 6.2. Taxonomia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. p. 63. 6.3. O Problema das k-médias . . . . . . . . . . . . . . . . . . . . . . . . .. p. 65. 7 AnoniMobi, a Abordagem Proposta. p. 68. 7.1. Visão Geral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. p. 69. 7.2. Servidor de Autenticação. . . . . . . . . . . . . . . . . . . . . . . . . .. p. 69. 7.3. Estratégia de Anonimização . . . . . . . . . . . . . . . . . . . . . . . .. p. 71. 7.4. Curva de Preenchimento: métrica de proximidade . . . . . . . . . . . .. p. 73. 7.5. Infraestrutura P2P . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. p. 74. 7.5.1. Parâmetros α e β. . . . . . . . . . . . . . . . . . . . . . . . . .. p. 76. 7.5.2. Migração entre regiões “colaterais não-vizinhas” . . . . . . . . .. p. 77. 7.6. Reciprocidade. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. p. 77. 7.7. Consultas-K. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. p. 78. 7.8. Ataques Internos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. p. 80. 7.9. Comunicações entre usuários. p. 81. . . . . . . . . . . . . . . . . . . . . . . ..

(10) 7.10 Considerações Finais . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Análise de Sensibilidade de Resultados 8.1. O parâmetro k. p. 84 p. 86. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. p. 87. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. p. 94. 8.2. O parâmetro α. 8.3. A arquitetura P2P. . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 9 Conclusões e Trabalhos Futuros. p. 95 p. 96. 9.1. Contribuições . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. p. 97. 9.2. Trabalhos Futuros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. p. 98. Referências. p. 100.

(11) Lista de Figuras 1. Dependência de Leitura . . . . . . . . . . . . . . . . . . . . . . . . . .. p. 17. 2. Pesquisa pelo hospital mais próximo . . . . . . . . . . . . . . . . . . . .. p. 20. 3. Tendência de centralização do usuário consultante . . . . . . . . . . . .. p. 21. 4. A curva de Hilbert como métrica de proximidade . . . . . . . . . . . .. p. 22. 5. Ausência de reciprocidade permite inferência do usuário consultante . .. p. 23. 6. Definição de K-ASR com reciprocidade entre usuários . . . . . . . . .. p. 23. 7. Anel Chord . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. p. 45. 8. O mecanismo de busca Chord . . . . . . . . . . . . . . . . . . . . . . .. p. 46. 9. Mapeamento CAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. p. 48. 10. Inserção do nó 7 no sistema CAN . . . . . . . . . . . . . . . . . . . . .. p. 49. 11. Comparação entre algumas arquiteturas DHT . . . . . . . . . . . . . .. p. 52. 12. Exemplos de curvas planas . . . . . . . . . . . . . . . . . . . . . . . . .. p. 55. 13. Gráfico da Função Geradora p(t) . . . . . . . . . . . . . . . . . . . . .. p. 56. 14. Polígonos de Aproximação de φ(t) e ψ(t), para 1 ≤ k ≤ 4 . . . . . . . .. p. 57. 15. Geração de curvas de Hilbert. . . . . . . . . . . . . . . . . . . . . . . .. p. 58. 16. Curva de Hilbert: pontos inicial e final adjacentes . . . . . . . . . . . .. p. 59. 17. Curva de Hilbert tridimensional . . . . . . . . . . . . . . . . . . . . . .. p. 59. 18. Coerência média das curvas de Peano e de Hilbert . . . . . . . . . . . .. p. 60. 19. Construção de uma Curva de Hilbert . . . . . . . . . . . . . . . . . . .. p. 61. 20. Resultado de uma análise de agrupamento em três classes . . . . . . . .. p. 63. 21. Algoritmo k-Médias: exemplo de iteração . . . . . . . . . . . . . . . . .. p. 67. 22. Cenário AnoniMobi . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. p. 70.

(12) 23. 1a Simulação do algoritmo k-médias . . . . . . . . . . . . . . . . . . . .. p. 72. 24. 2a Simulação do algoritmo k-médias . . . . . . . . . . . . . . . . . . . .. p. 72. 25. Retorno do SBL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. p. 73. 26. Métrica de proximidade: Curva de Hilbert . . . . . . . . . . . . . . . .. p. 74. 27. Formação de grupos: Hilbert + CAN . . . . . . . . . . . . . . . . . . .. p. 75. 28. Migração de região CAN . . . . . . . . . . . . . . . . . . . . . . . . . .. p. 76. 29. Cenário de uma consulta-K: passos de 1 a 5 . . . . . . . . . . . . . . .. p. 79. 30. Grupos de usuários (regiões CAN) . . . . . . . . . . . . . . . . . . . . .. p. 80. 31. Impacto da quantidade pontos no percentual de erro. . . . . . . . . . .. p. 87. 32. Percentual de centróides não-associados a qualquer usuário . . . . . . .. p. 88. 33. Ambiente de simulação da aplicação Android . . . . . . . . . . . . . . .. p. 90. 34. Tempo médio de requisição ao SBL . . . . . . . . . . . . . . . . . . . .. p. 90. 35. Implementação do algoritmo de Lloyd no ambiente Android . . . . . .. p. 91. 36. Tempo médio de execução do algoritmo de Lloyd . . . . . . . . . . . .. p. 91. 37. Porcentagem de usuários e distâncias dos centróides . . . . . . . . . . .. p. 92.

(13) Lista de Tabelas 1. Ações elementares de usuários móveis e suas relações espaciais . . . . .. p. 30. 2. Visão geral de posicionamento: Satélite, Celular e Ambiente Interno . .. p. 35. 3. Visão Geral do Tráfego Móvel de Internet em 2009 . . . . . . . . . . . .. p. 39. 4. Comparação entre os vários esquemas de Redes P2P. . . . . . . . . . .. p. 51. 5. Quantidade de usuários por grupo (região CAN). . . . . . . . . . . . .. p. 79. 6. Porcentagem de usuários para k = 4 e k = 5 . . . . . . . . . . . . . . .. p. 93. 7. Quadro comparativo para k = 4 e k = 5 . . . . . . . . . . . . . . . . .. p. 93.

(14) 13. 1. Introdução. “Não há fé inabalável senão aquela que pode encarar a razão face a face, em todas as épocas da Humanidade.” Allan Kardec.

(15) 1.1 Contexto. 1.1. 14. Contexto. Os equipamentos eletrônicos portáteis têm gradativamente incorporado novas funcionalidades anteriormente restritas aos computadores desktops (aumento na capacidade de armazenamento/processamento, ubiquidade de acesso a Internet, etc). Devido ao seu baixo custo, esses equipamentos estão ganhando popularidade e podem em pouco tempo tornar-se o modo dominante pelo qual os usuários acessem a Internet, conforme aponta [Buford, Heather e Lua 2009]. Consequentemente, os aparelhos móveis terão um papel importante nas futuras redes P2P. Boa parte dos estudos sobre mobilidade em sistemas P2P assume que a população de pares consiste primariamente de nós não-móveis [Androutsellis-Theotokis e Spinellis 2004]. A tendência no uso de equipamentos eletrônicos e aparelhos celulares sugere que no futuro a maioria dos equipamentos conectados à Internet poderão estar operando em nós móveis. Supondo que se concretize essa perspectiva, as técnicas baseadas em redes sobrepostas. 1. (como é o caso dos sistemas P2P) que “acomodarem” mobilidade utilizando recursos de pares estacionários podem ter seu desempenho degradado. A mobilidade tem gerado demandas por Serviços Baseados em Localização (SBLs)2 , impulsionados, em grande parte, pelo barateamento de equipamentos com capacidade de recepção e processamento dos sinais GPS. Os smartphones com tais funcionalidades de georeferenciamento são um exemplo de aparelhos portáteis que proporcionam aos seus usuários desfrutarem de SBLs para monitorarem a localização de uma frota de veículos, para encontrarem amigos em uma região geográfica, ou simplesmente para descobrirem o restaurante mais próximo. No que concerne ao uso de SBLs, [Kütter 2005] informa que a privacidade é uma preocupação recorrente e, na prática, há uma relutância em acessar serviços que possam revelar afiliações políticas/religiosas ou estilos de vida alternativos. Pesquisar a localização geográfica de escritórios de um partido político pode indicar um vínculo partidário que se deseje manter em segredo, por exemplo. Semelhantemente, uma consulta pelo hospital para tratamento de pacientes soropositivos mais próximo pode revelar a existência de um familiar portador do vírus HIV, e o receio de despertar discriminações pode impedir o usuário de usufruir de um SBL para tal finalidade. Além disso, usuários podem hesitar em efetuar consultas aparentemente inofensivas como “qual a farmácia mais próxima de minha atual localização?” desde que, uma vez revelada sua identidade, passem a receber 1 2. Redes overlay. Vide Capítulo 3..

(16) 1.1 Contexto. 15. propagandas e promoções não-solicitadas (spam). Neste contexto, a identidade do usuário de um SBL precisa ser preservada. Apesar de um usuário ser capaz de ocultar dos SBLs sua identidade pessoal utilizando serviços de navegação anônima, as consultas efetuadas possuem informações de localização geográfica. Tais informações podem, em muitos casos, ser relacionadas ao usuário consultante e, desta forma, revelar indiretamente a sua identidade. A relação entre coordenadas geográficas e indivíduos pode se dar, por exemplo, através de triangulação do sinal de telefones celulares, método funcional tanto em áreas externas como em ambientes internos. Um atacante (terceiro não-confiável), de posse da informação de localização enviada ao SBL e da coordenada geográfica obtida do sistema de telefonia celular, pode identificar o autor da consulta por mera comparação de dados. Por meio de observação física também é possível determinar a coordenada de um indivíduo. Um atacante, de posse de um aparelho de GPS, pode perseguir sua vítima, monitorando constantemente a sua própria coordenada, e, consequentemente, deduzir a coordenada do usuário do SBL. Determinadas situações propiciam maior praticidade ainda ao atacante. Se o usuário efetua consultas a partir de um local que o caracterize bem (sua residência, por exemplo), a informação de localização fornecida ao SBL pode ser correlacionada a bancos de dados públicos (como o GoogleMaps), revelando sua identidade. Assumindo-se que SBLs públicos podem ser vulneráveis e, consequentemente, entidades não-confiáveis, atacantes têm a capacidade de comprometer o serviço oferecido, neutralizando as tentativas de garantia de privacidade durante consultas realizadas por terceiros. Desta forma, o problema abordado neste trabalho pode ser descrito como se segue: Realizar, em tempo satisfatório, consultas anônimas a SBLs públicos, garantindo o nível de privacidade desejado com o menor consumo de recursos possível (processamento, armazenamento, largura de banda). As abordagens tradicionais enfrentam o problema considerando a construção de uma região espacial de anonimização (ASR) baseada em retângulos contendo um mínimo de usuários que garanta um nível K de anonimidade. A abordagem desenvolvida no sistema AnoniMobi desvincula-se de propostas tradi-.

(17) 1.2 Estrutura da Dissertação. 16. cionais para formação de região espacial de anonimização (ASR) ao considerar o uso de pontos (médias aleatórias) que permitem agrupar coordenadas de modo não-determinísco. Essa propriedade leva à construção de uma ASR com garantia do nível desejado de privacidade. Além disso, o uso de pontos como unidade básica de consulta proporciona não apenas uma semântica mais adequada para o processamento dos SBLs mas, essencialmente, provê rotas que tendem a aumentar consideravelmente a qualidade da resposta. Para a construção da ASR sugerida, o sistema AnoniMobi faz uso de um algoritmo de aglomeração (algoritmo de Lloyd), com baixíssimo consumo de recursos, executado no próprio nó consultante. As informações de coordenadas vizinhas (usuários mais próximos, segundo a métrica de Hilbert) são coletadas na infraestrutura P2P subjacente (baseada na arquitetura CAN). Os resultados (teóricos e simulados) obtidos neste trabalho indicam o potencial do sistema AnoniMobi, comparativamente às abordagens tradicionais. Algumas propostas para implementação do protocolo de comunicação entre os nós é apresentada como indicação de trabalhos futuros.. 1.2. Estrutura da Dissertação. Além deste capítulo introdutório, o presente trabalho é composto por um capítulo referente aos trabalhos relacionados (Capítulo 2), quatro capítulos de fundamentação teórica (Capítulos de 3 a 6), dois capítulos sobre a abordagem proposta (Capítulos 7 e 8) e um capítulo de conclusão (Capítulo 9). As ideias-chave das atuais abordagens vinculadas ao universo da anonimização de informações de localização são apresentadas no Capítulo 2, “Trabalhos Relacionados”. Em seguida o capítulo 3, “Serviços Baseados em Localização”, expõe fundamentos relativos aos SBLs e introduz conceitos relacionados a essa tecnologia e a outras afins. Subsídios para a compreensão do funcionamento dos Sistemas P2P são fornecidos no capítulo 4, “Redes Par a Par e Mobilidade”. O capítulo 5, “Curvas de Peano”, traz conceitos básicos relacionados às curvas de preenchimento espacial. Por sua vez, conceitos básicos relacionados ao universo dos problemas de agrupamento são fornecidos no capítulo 6, “Algoritmos de Agrupamento”. A abordagem proposta, batizada de AnoniMobi, é formalmente apresentada no capítulo 7, “AnoniMobi, a Abordagem Proposta”, e os resultados de experimentos estão descritos no capítulo 8, “Resultados e Análises”. Por fim, o capítulo 9, “Conclusões e Trabalhos Futuros”, aponta as conclusões referentes aos estudos realizados.

(18) 1.2 Estrutura da Dissertação. 17. e indica caminhos de continuidade para as pesquisas desenvolvidas. O leitor que se sinta à vontade com os temas abordados na fundamentação teórica poderá concentrar-se nos capítulos 2, 7, 8 e 9 sem prejuízo de compreensão das ideias discutidas. A Figura 1 ilustra a dependência dos assuntos abordados em cada capítulo, servindo como orientação para uma leitura mais direcionada.. Figura 1: Dependência de Leitura.

(19) 18. 2. Trabalhos Relacionados. “Na natureza, nada se cria, nada se perde, tudo se transforma.” Antoine Laurent Lavoisier (1743–1794). A proliferação de aparelhos móveis com capacidades de localização vem pressionando o desenvolvimento de aplicações de SBL. Contudo, para que tais aplicações tenham sucesso, a privacidade e a confidencialidade são aspectos essenciais a serem considerados. O presente capítulo relaciona alguns dos trabalhos mais relevantes no contexto da pesquisa desenvolvida, trazendo as ideias-chave das propostas e abordagens vinculadas ao universo da anonimização de informações de localização. Preliminarmente, o conceito de anonimidade-K é explicitado para adequada compreensão das técnicas citadas..

(20) 2.1 Anonimidade-K. 2.1. 19. Anonimidade-K. Seja um cenário com uma determinada base de dados, como a de um hospital ou a de um banco, que possui uma coleção privada de dados estruturados sobre pessoas específicas. Suponha-se que exista a necessidade de compartilhar uma versão dos dados. A questão natural que surge é como definir esta versão dos dados privados com garantia comprovada de que os indivíduos (sujeitos dos dados) não poderão ser identificados, mantendo, ao mesmo tempo, alguma utilidade prática para a versão fornecida para pesquisa. A proposta em [Sweeney 2002], conhecida como anonimidade-K, busca resolver essa problemática apresentando um modelo de proteção acompanhado de um conjunto de políticas de implementação. Uma versão da base de dados, contendo informações sobre raça, data de nascimento, sexo e código de endereçamento postal (CEP), não consegue, em muitos casos, garantir a privacidade dos dados. Tais informações podem ser relacionadas a outras informações publicamente disponíveis para (re)identificar os indivíduos e inferir informações que deveriam ser ocultadas. Resumidamente, um conjunto de dados é dito K-anônimo se cada um de seus registros é indistinguível dentre, pelo menos, outros K − 1 registros com relação a determinados atributos. [Samarati 2001] apoia-se na definição da anonimidade-K para desenvolver uma solução baseada em técnicas de generalização e supressão de informações que consegue solucionar o problema de proteger a privacidade em versões de informação de base de dados. A abordagem revela microdados de tal forma que as identidades dos indivíduos não podem ser descobertas.. 2.2. Consultas anônimas a SBLs públicos. O conceito de anonimidade-K também vem sendo utilizado no contexto de SBLs. A definição de [Pfitzmann e Köhntopp 2001] para anonimidade diz que “Anonimidade é a qualidade de um elemento estar não identificável em meio a um conjunto de elementos, o conjunto de anonimidade”. Apoiado nessa definição e inspirado nos trabalhos de [Samarati e Sweeney 1998], [Gruteser e Grunwald 2003] considera que um usuário está K-anônimo, com respeito a informações de localização, se e somente se a informação de localização apresentada é indistiguível de outras K − 1 informações de localização de.

(21) 2.2 Consultas anônimas a SBLs públicos. 20. usuários. O trabalho desenvolve um algoritmo baseado em quadtree que subdivide a área ao redor da posição do usuário em quadrantes até que o número de usuários dentro da (sub)área atinja um valor inferior a um k_min (parâmetro global que indica o nível de anonimidade). O quadrante que mantém o nível k_min é então retornado. Em seguida, as coordenadas do quadrante (retângulo) são enviadas ao SBL que retorna ao sistema, como resultado, as coordenadas dos pontos de interesse mais próximos. A Figura 2 ilustra uma pesquisa feita pelo usuário u1 em busca do hospital mais próximo de sua atual localização, requerendo um nível K = 3 de anonimidade. O quadrante definido engloba u1 , u2 e u3 . A resposta do SBL indica h3 (interno ao retângulo), h2 e h4 .. Figura 2: Pesquisa pelo hospital mais próximo Este pioneiro trabalho no uso do conceito de anonimidade-K no contexto de pesquisas a SBLs tem uma desvantagem digna de nota. Ao assumir um valor global para k_min, o tempo de atendimento a requisições (qualidade de serviço) tem seu limite inferior “préfixado”, mesmo para o caso dos usuários móveis cujos requisitos de privacidade sejam atendidos por valores inferiores a k_min. Em situações mais realísticas, os usuários tendem a definir diferentes níveis de anonimidade para pesquisas distintas. Em [Gedik e Liu 2005], o nível de anonimidade-K é uma escolha do usuário e a localização dos usuários é ocultada através da construção de uma Região Espacial de Anonimização-K (Anonymous Spatial Region, K-ASR) que engloba a localização do usuário consultante mais K − 1 localizações de outros usuários. Um servidor confiável (anonimizador), conhecendo a localização de todos os usuários do sistema, consegue determinar a K-ASR relativa a um usuário e encaminhar sua consulta anonimamente ao SBL público. Quando o SBL retorna o resultado, o servidor reencaminha-a ao usuário de origem. Apesar de possibilitar que o usuário escolha o nível de anonimidade desejado, os algoritmos desenvolvidos não são escaláveis, sendo adequados apenas para pequenos valores de K (entre 5 e 10), o que limita muito sua aplicabilidade..

(22) 2.2 Consultas anônimas a SBLs públicos. 21. [Mokbel, Chow e Aref 2006] propõe uma abordagem mais escalável, cuja arquitetura do servidor anonimizador é baseada em uma pirâmide que armazena uma lista de localizações dos usuários do sistema. O usuário consultante fornece ao anonimizador o valor de K e, adicionalmente, um valor Amin que indica a resolução mínima aceitável para a região de anonimização (útil, segundo os autores, em casos de regiões densamente populadas). Novamente, o anonimizador intermedia a comunicação com o SBL público, retornando ao usuário o resultado obtido. Contudo, a forma de estabelecimento da K-ASR considerando usuários efetivamente mais próximos do usuário consultante (empregada em todas as abordagens citadas) falha ao tentar ocultar sua localização em muitos casos, pois há uma tendência muito forte de que o usuário situe-se no centro dos demais (vide Figura 3). Sendo este um subsídio para determinar a localização do usuário, outras métricas de proximidade precisam ser consideradas. Acrescente-se a este, o fato de que há demasiado esforço computacional para o cálculo dos vizinhos mais próximos de um usuário.. (a) Usuários consultantes em azul. (b) Agrupamentos de usuários mais próximos para K = 5. Figura 3: Tendência de centralização do usuário consultante Em [Kalnis et al. 2006], uma métrica de proximidade alternativa é adotada. Baseada na curva de preenchimento espacial de Hilbert (vide capítulo 5), os valores de coordenadas dos usuários são mapeados para um valor no espaço de Hilbert e agrupados adequadamente para garantir o nível K de anonimidade solicitado. A Figura 4(a) apresenta usuários distribuídos sobre um espaço bidimensional mapeado (curva de Hilbert em cinza). A lista de proximidade ao lado da figura ilustra, por exemplo, a situação do usuário p1 em relação ao usuário p8: ambos encontram-se geograficamente próximos; porém, seus valores de Hilbert (6 e 57, respectivamente) distanciam-nos na lista. Na óptica da curva de preenchimento, p1 (6) está mais próximo de p3 (16) do que de p8 (57). Ao ser inserido no contexto, o usuário u (9) irá situar-se entre p1 e p2, dado.

(23) 2.2 Consultas anônimas a SBLs públicos. 22. seu valor de Hilbert.. (a) A curva de Hilbert altera a definição de proximi- (b) Agrupamentos de usuários próximos, condade entre usuários forme valores de Hilbert. Figura 4: A curva de Hilbert como métrica de proximidade Além de diminuir o tempo de processamento na definição da K-ASR, esta abordagem contorna elegantemente o problema de centralização do usuário consultante em relação aos demais usuários que participam do processo de anonimização (grupo de anonimidade). A Figura 4(b) ilustra a definição de grupos de anonimização com K = 3 e K = 4 considerando a curva de Hilbert como métrica de proximidade. Nota-se que estas abordagens tornam o servidor confiável um gargalo para o sistema, já que todas as requisições (e atualizações de posições dos usuários) passam por ele. Além disso, este servidor central é um ponto extremo de falha: se comprometido, revela a posição de todos os usuários, bem como suas consultas. Em [Ghinita, Kalnis e Skiadopoulos 2007], é apresentado o sistema PRIVÉ que busca resolver as problemáticas apresentadas. Utilizando-se da curva de Hilbert para estabelecimento de uma nova métrica de proximidade, a abordagem desvencilha-se do servidor anonimizador distribuindo as informações de localização entre os diversos usuários P2P do sistema. Os usuários auto-organizam-se em grupos cujos líderes mantêm as informações de localização de seus integrantes (a liderança é alternada periodicamente para efeito de balanceamento de carga de processamento). Os líderes, por sua vez, trocam informações entre si para estabelecer os grupos de anonimização quando uma consulta deve ser realizada. Entretanto, em vez de utilizar um anonimizador, o usuário consultante coleta as coordenadas de seus vizinhos com o auxílio de seu líder e, por conta própria, constrói a K-ASR desejada. Em seguida, envia as coordenadas da mesma para o SBL, obtendo o resultado esperado sem quaisquer intermediários. Um conceito bastante pertinente que é discutido em PRIVÉ diz respeito à Reciprocidade das consultas. A Figura 5 ilustra a ideia. Supondo-se uma pesquisa com nível K = 3.

(24) 2.2 Consultas anônimas a SBLs públicos. 23. de anonimidade, o conjunto de usuários a participarem do processo de anonimização caso o usuário u1 efetue a consulta será u1 , u2 , u3 . O mesmo grupo será definido caso a pesquisa seja efetuada pelos usuários u2 e u3 . Entretanto, se o usuário u4 for o usuário consultante, o grupo de anonimização será u1 , u3 , u4 . Nota-se que para os três primeiros casos, o retângulo que consitui a K-ASR será o mesmo e envolverá apenas os usuários já indicados. No quarto caso o retângulo será diferente. Nesta situação, supondo o pior caso, em que o atacante conhece as coordenadas de todos os usuários do sistema (vide seção 1.1), será possível concluir que o autor da consulta é u4 .. Figura 5: Ausência de reciprocidade permite inferência do usuário consultante Dito isso, PRIVÉ define a Reciprocidade K-ASR da seguinte forma: Definição 2.1 Seja usuário uq realizando uma consulta e seja Aq sua K-ASR associada. Aq satisfaz a propriedade de reciprocidade caso exista um conjunto AS de usuários internos a Aq , tais que (i) |AS| ≥ K, (ii) uq ∈ AS e (iii) todo usuário u ∈ AS é interno à K-ASR de todos os outros usuários em AS. A Figura 6 ilustra o exemplo de reciprocidade para as K-ASR A1 e A2 construídas segundo esse critério, considerando K = 5.. Figura 6: Definição de K-ASR com reciprocidade entre usuários Em PRIVÉ, os líderes de cada grupo organizam-se hierarquicamente em supergrupos com o objetivo de compartilharem as informações necessárias para a construção das KASR solicitadas. Essa auto-organização em árvore B+ prossegue até a definição de um.

(25) 2.3 Posicionamento. 24. líder raiz. Dependendo do nível K solicitado e da quantidade de usuários no sistema, a troca de mensagens entre líderes pode atingir a raiz. A organização dos usuários P2P em árvore B+, apesar de elegante, tem a desvantagem de sobrecarregar os líderes, principalmente o líder raiz, elevando o nível de rejeição de consultas por buffer overflow. Com cerca de 10.000 usuários, o tempo de resposta pode chegar a 10 minutos [Ghinita, Skiadopoulos e Kalnis 2007], o que torna impraticável a efetuação de consultas corriqueiras. A proposta de [Ghinita, Skiadopoulos e Kalnis 2007] busca resolver este problema de sobrecarga. Adotando os mesmos elementos anteriormente mencionados (curva de Hilbert e distribuição de informações de localização entre usuários P2P), é definido o sistema MobiHide para consultas anônimas. Contudo, a infra-estrutura de organização dos nós é baseada no protocolo Chord (vide 4.3.2). A chave para a organização do anel Chord que armazena os valores da tabela de Hash distribuída (DHT) é o próprio valor de Hilbert. Esta organização proporciona maior escalabilidade para o sistema. Uma consulta-K é atendida em O(K) saltos (entre líderes). Há três operações recorrentes na estrutura. A latência 1 da operação de entrada/saída de um nó com relação a um determinado grupo tem ordem de complexidade de O(log N − log α), com α sendo um parâmetro que define a quantidade máxima de usuários por grupo e com N indicando a quantidade de usuários do sistema. O custo de comunicação para a operação de entrada/saída é O(log N − log α + α). A operação de realocação possui os mesmos valores de complexidade. A complexidade da consulta-K, tanto em termos de latência quanto de custo de comunicação, é de O(K/α).. 2.3. Posicionamento. Todas as abordagens pesquisadas apresentam como retorno um conjunto de pontos de interesses próximos à K-ASR definida. Contudo, saber a posição de um alvo nem sempre é suficiente para conseguir alcançá-lo com eficiência. Em muitos casos, faz-se necessário o fornecimento de orientações adicionais (rotas). A proposta do presente trabalho busca atingir esta meta, sem contudo incorrer em problemas de latência, falta de reciprocidade, sobrecarga de servidor centralizado e fornecimento de subsídios a atacantes internos e externos ao sistema. 1. Neste contexto, a latência é avaliada em termos da quantidade de nós pelos quais as mensagens precisam trafegar..

(26) 25. 3. Serviços Baseados em Localização. “Navegar é preciso, viver não.” Luís de Camões. “Serviços Baseados em Localização (SBLs) podem ser definidos como serviços de TI que criam, compilam, selecionam ou filtram informação considerando as localizações dos usuários ou de outras pessoas ou objetos móveis” [Küpper e Treu 2010]. Podem atuar em conjunto com serviços convencionais de telefonia, por exemplo, para realizar roteamento de chamadas baseado em localização. Um dos atrativos dos SBLs resulta do fato de que seus usuários não precisam inserir manualmente a informação de localização, mas são automaticamente “apontados” e “rastreados”. Uma vez obtida a informação de localização, ela deve ser tratada de vários modos, incluindo a adequação de seu formato ao de algum outro sistema de referência espacial, a correlação com outros conteúdos geográficos, a geração de mapas, ou o cálculo de instruções de navegação, dentre outros. Em geral, tais tarefas não são processadas nos aparelhos móveis. Desta forma, o sucesso no processo de utilização de SBLs depende da interoperação cooperativa de diversos atores, tais como operadoras de redes e provedores de serviço e conteúdo, atuando em uma infraestrutura distribuída. Esta situação impõe uma série de desafios, seja na troca em tempo-real das informações de localização entre os atores, seja na garantia da privacidade dos indivíduos a que se referem essas informações. Este capítulo expõe fundamentos relativos aos SBLs e introduz conceitos relacionados à essa tecnologia e a outras afins, proporcionando uma compacta e compreensiva visão geral dos métodos, protocolos de localização e plataformas de serviços existentes..

(27) 3.1 Breve Introdução. 3.1. 26. Breve Introdução. Apesar de os SBLs já serem um tema explorado no campo das comunicações móveis há alguns anos, ainda não existe uma terminologia comum para defini-los. Os termos serviço baseado em localização, serviço consciente de localização, serviço referente a localização, e serviço de localização. 1. são comumente utilizados intercambiavelmente.. “Uma razão para este dilema pode repousar no fato de que o caráter e a aparência de tais serviços têm sido determinados por diferentes comunidades, especificamente o setor de telecomunicações e a área de computação ubíqua” [Kütter 2005]. Uma das principais origens dos SBLs é o documento E911 (Enhanced 911 ) [FCC 2010], emitido pela Federal Communications Commission (FCC) em 1996, que obrigou as operadoras das redes de celular a localizar as chamadas telefônicas destinadas aos serviços de emergência (911) e direcioná-las para pontos de resposta geograficamente mais próximos da origem das chamadas. Como consequência, as operadoras de celular em todo o mundo passaram a oferecer uma série de SBLs na forma de buscadores de serviços (como hospitais, postos de abastecimento e terminais eletrônicos de auto-atendimento). Com o barateamento na produção de receptores de sinais GPS, esta tecnologia passou a dominar o mercado de geoposicionamento, estando comumente embutida em aparelhos celulares de baixo custo. Este cenário torna o uso de SBLs ainda mais promissor.. 3.2. Uma Taxonomia. De um ponto de vista funcional, os SBLs podem ser classificados de acordo com os seguintes critérios [Küpper e Treu 2010]: Auto-referência versus Referência Cruzada. Este critério diz respeito ao papel que o usuário e o alvo participantes de um SBL adotam durante sua execução. O usuário é a pessoa que solicita algum SBL, ao passo que o alvo é o indivíduo a ser localizado ou rastreado. Em SBLs de auto-referência, usuário e alvo são o mesmo indivíduo. Um exemplo é a busca por pontos de interesse próximos a localização atual do usuário. Em SBLs de referência cruzada, os papéis de usuário e alvo são exercidos por indivíduos 1. Do inglês location-based service, location-aware service, location-related service e location service, respectivamente..

(28) 3.2 Uma Taxonomia. 27. distintos. O usuário solicita a localização do alvo (ou seu rastreamento). Esse tipo de serviço é uma demanda, por exemplo, de empresas de transporte, que precisam saber constantemente a posição de seus veículos. Alvo-único versus Multi-alvos. SBLs de alvo-único focam-se no rastreamento de um único alvo. Normalmente, a posição do alvo é inter-relacionada com conteúdo geográfico para, por exemplo, criar dados de rota para navegação. Neste caso, o principal objetivo é converter uma posição geográfica (latitude, longitude e altitude) em localização descritiva (ex.: endereços de ruas) relacionada ao local onde se encontra o alvo. Um exemplo típico é o serviço de rastreamento de crianças. Em SBLs de multi-alvo, o foco está mais direcionado para o inter-relacionamento das posições de vários alvos entre si. O estabelecimento de redes sociais baseadas em proximidade geográfica é uma das aplicações deste tipo de SBL, em sintonia com a filosofia webware (ou Web 2.0) [Anderson 2007], [Sá e Bertocchi 2007] e [Wikipédia 2010]. Reatividade versus Proatividade. Um SBL é classificado como reativo se a informação baseada em localização é entregue ao usuário quando uma consulta é formalmente efetuada. Neste cenário, um usuário efetua uma consulta ao SBL que, após o devido processamento, retorna o resultado baseado em localização. As solicitações por informações relacionadas ao trânsito em rodovias são situações facilmente tratadas por esta categoria de SBLs. Por outro lado, SBLs proativos são acionados automaticamente na presença de algum evento pré-definido. Se o alvo aproxima-se de uma determinada posição, por exemplo, o SBL reage produzindo algum outro evento (um guia turístico eletrônico pode notificar via SMS um turista tão logo este se aproxime de algum ponto de interesse). Localização de Alvos versus Alvos em uma Localização. Duas ópticas “simétricas” de localização podem ser definidas para SBLs com relação aos alvos. Na primeira, ocorre um mapeamento do conjunto de alvos para o conjunto de localizações, quando se diz que o SBL fornece um serviço de localização de alvos (dado um alvo, retorna-se sua localização). Na outra, o mapeamento é reverso, isto é, de conjuntos de localizações para conjuntos de alvos. Diz-se, nesse caso, que o SBL fornece um serviço de informações sobre alvos em uma localização (dada uma localização, retorna-se o conjunto de alvos mais próximos). Um exemplo de localização de alvos é o rastreamento de um indivíduo, onde a posição do alvo é requerida. A pesquisa pelas farmácias mais próximas de uma determinada localização é um exemplo de pesquisa por alvos em uma localização. Ambiente Externo versus Ambiente Interno. A distinção entre essas duas classes é essencial para a definição da tecnologia de suporte a ser utilizada. Os SBLs de.

(29) 3.3 Algumas Aplicações. 28. ambiente externo fazem uso de tecnologias de posicionamento via satélites ou celulares, cujas precisões de resultado podem variar de 10 m (GPS)2 a algumas centenas de metros (ex.: métodos da rede celular). Já os SBLs de ambiente interno baseiam-se na observação de padrões de rádio e na sua comparação com padrões pré-gravados e bem-definidos de localização, chegando a obter precisões na ordem de centímetros 3 .. 3.3. Algumas Aplicações. Existe uma série de diferentes Serviços Baseados em Localização. Sem pretender esgotar as possibilidades, eis alguns exemplos categorizados [Steiniger, Neun e Edwardes 2006]: • Navegação – Direções – Roteamento em ambiente interno – Orientações de estacionamento – Gerenciamento de tráfego • Informação – Serviços de Informação – Guias turísticos e de viagens – Planejamento de viagens – Páginas amarelas móveis – Guias de compras • Rastreamento – Rastreamento de pessoas/veículos – Rastreamento de produtos • Jogos – Jogos móveis 2. O valor de 10 m é uma aproximação do valor de referência estabelecido no documento GPS SPS Performance Standard [NavStar 2008] de erro ≤ 12,8 m 95%. 3 [Kolodziej e Hjelm 2006] apresenta um estudo pormenorizado sobre SBLs de ambiente interno e [Kütter 2005] aprofunda o estudo sobre SBLs de ambiente externo..

(30) 3.3 Algumas Aplicações. – Geocaching. 29 4. • Emergência – Chamadas de emergência – Assistência automotiva • Propaganda – Banners – Alertas de propagandas • Bilhetagem – Pedágio de avenidas – Bilhetagem sensível à localização • Gerenciamento – de facilidades – de infraestrutura – de relacionamento com clientes – de frota (agendamento) – de ambientes – de segurança (polícia, ambulância, ...) • Lazer – Busca por amigos [Santos et al. 2008] – Mensagens instantâneas Uma situação típica é um serviço que localiza os restaurantes próximos a localização atual do usuário. Este tipo de serviço pode levar em consideração as preferências desse usuário, como o tipo de comida favorita, a faixa de preço adequada, etc. A Tabela 1 apresenta algumas ações comumente executadas por usuários móveis, bem como as relações dessas ações com as ações de contexto espacial [Reichenbacher 2004]. A 4. Geocaching é uma espécie de “Caça ao Tesouro Geodésica”, com diversos adeptos no mundo inteiro [Geocaching 2010]..

(31) Identificação e reconhecimento de pessoas Verificação de Evento Verificação de eventos; determinação do estado de objetos. Identificação. Busca por pessoas e objetos. Localização Navegação Navegação, Planejamento de rotas Busca. Orientação e Localização. { O que | Quem | Quanto } está { aqui | lá }? O que acontece { aqui | lá }?. Questões Onde eu estou? Onde está { alguém | algo }? Como chego a { nome de lugar | endereço | xy }? Onde está o { objeto | indivíduo & } mais { próximo | relevante }? Identificar pessoas e objetos; Quantificar objetos Saber o que acontece; Conhecer o estado de objetos. Encontrar o caminho para um destino Procurar por pessoas e objetos segundo um critério. Objetivo Localizar pessoas e objetos - posicionamento - geocodificação - geodecodificação - roteamento - posicionamento - geocodificação - cálculo de distância/área - descoberta de relações - listagem - seleção - busca temática/ espacial. Operações - posicionamento - geocodificação - geodecodificação. entrega de informação sobre pessoas/ objetos entrega de informação sobre objetos e eventos. Serviço entrega da posição de pessoas e objetos entrega de rotas e instruções de navegação descoberta de serviços disponíveis; descoberta de pessoas/objetos. tempo localização objeto. objeto. Parâmetros coordenadas objetos endereços nome de lugares ponto inicial, ponto final, e pontos intermediários localização área/raio objeto/categoria. Tabela 1: Ações elementares de usuários móveis e suas relações espaciais. informação sobre objetos do mundo real no contexto apresentado descoberta de eventos; informação sobre o estado de objetos no contexto. definição de caminhos através do espaço descoberta de objetos relevantes; descoberta de pessoas. Suporte orientação no espaço. 3.3 Algumas Aplicações 30.

(32) 3.4 A Respeito da Localização. 31. coluna “Operações”, que resume algumas das atividades que o provedor do SBL deve suportar, faz referência constante à atividade de localizçaão geográfica. Apesar de muitas pessoas afirmarem estar familiarizadas com o conceito de localização, é útil analisar mais profundamente o assunto e distinguir as diferentes categorias de informação de localização existentes. A próxima seção aborda esta questão.. 3.4. A Respeito da Localização. Basicamente, o termo “localização” está associado a um certo lugar no mundo real. Este tipo de localização pertence à classe de localizações físicas. Entretanto, a Internet criou uma série de novas aplicações para as quais o termo “localização” muitas vezes adquire um novo significado, referindo-se a lugares virtuais. Tem-se, assim, o domínio das localizações virtuais 5 . Esta última classe de localizações, em geral, não é abordada por SBLs. Três subcategorias de localizações físicas podem ser distinguidas. Localizações Descritivas. Localizações descritivas são um conceito fundamental utilizado pelas pessoas para agendar compromissos e receber/enviar correspondências, por exemplo. Uma localização descritiva sempre refere-se a objetos geográficos naturais como territórios, montanhas, rios e lagos, ou a objetos geográficos produzidos pelo homem como cidades, rodovias, edifícios e salas. Estes objetos (naturais ou artificias) são citados através de descrições, isto é, nomes, identificadores ou números. Localizações Espaciais. Esta subclasse de localização representa um único ponto no espaço Euclideano representado por coordenadas. Diferentemente das localizações descritivas, as localizações espaciais não são utilizadas frequentemente no cotidiano da maioria das pessoas por preferir-se, em geral, adotar uma orientação em termos de objetos geográficos a uma orientação por coordenadas. Entretanto, o conceito de localização espacial proporciona a base para o mapeamento de localizações descritivas. Localizações de Rede. As localizações de rede referem-se à topologia de uma rede de comunicações, como a Internet ou o sistema de celular. Tais redes são compostas por sub-redes que se interconectam hierarquicamente através de circuitos de comunicação. O endereço de rede fornece informações de roteamento ao provedor de serviço de rede, indicando a localização do usuário dentro da topologia existente. Em redes móveis, uma localização de rede indica a estação-base à qual se está vinculado em determinado instante. SBLs podem se basear nessas três categorias de localização. O alvo de um usuário de 5. Um exemplo são as localizações “virtuais” no ambiente Second Life [SecondLife 2010].

(33) 3.5 O Problema do Posicionamento. 32. SBL é indicado pelo processo de posicionamento, para cuja execução existem diferentes métodos. GPS, por exemplo, fornece uma localização espacial, ao passo que o método Cell-Id produz uma localização de rede (a combinação de ambas técnicas é possível). Uma vez que a localização de um alvo é obtida, é necessário refiná-la para processamento pelo SBL, o que significa obter uma localização descritiva com sentido prático para ser entregue ao usuário.. 3.5. O Problema do Posicionamento. Posicionamento é o processo de obtenção da posição espacial de um alvo. Existem muitos métodos para efetuar esta tarefa e, em geral, consideram-se os seguintes elementos: • um ou muitos parâmetros obtidos por métodos de medição, • um método de posicionamento para cálculo de posição, • um sistema descritivo ou de referência espacial, • uma infraestrutura, e • protocolos para coordenar o processo de posicionamento. A função principal de qualquer sistema de posicionamento é a medição de um ou vários parâmetros observáveis como, por exemplo, ângulos, distâncias, direções ou velocidades. Geralmente, estes parâmetros refletem uma relação espacial do alvo com um ou vários ponto(s) fixo(s) de referência descrito(s) por coordenada(s) bem conhecida(s). São comumente medidos utilizando-se fundamentos físicos de sinais de rádio, infra-vermelhos ou ultra-sonoros (velocidade e atenuação, dentre outros). Após a obtenção dos valores dos parâmetros, a localização do alvo deve ser calculada considerando-se as coordenadas dos pontos fixos através de algum método de posicionamento. A seguir, uma classficação básica de tais métodos é apresentada [Kütter 2005]. Sensoriamento de Proximidade (Proximity Sensing). Neste método, a posição de um alvo é derivada das coordenadas da estação-base que ou recebe o sinal do terminal (por exemplo, um aparelho celular) ou da qual o terminal recebe o sinal. Nos sistemas celulares, este método é conhecido pelos termos Célula de Origem (Cell of Origin - CoO), Identidade Global de Célula (Cell Global Identity - CGI) ou simplesmente por Cell-ID e se tornou bastante popular graças a sua facilidade de implementação. Entretanto, sua maior.

(34) 3.5 O Problema do Posicionamento. 33. desvantagem é a baixa precisão devido ao raio de alcance das células, que pode variar de 100 m nas áreas urbanas a dezenas de quilômetros nas regiões rurais. Lateração. Este método mede a distância entre o alvo e um número de pelo menos três estações-base. Tais medidas são inseridas em um sistema de equações não-lineares e a posição do alvo é calculada. O método é conhecido como trilateração quando o número de estações-base é exatamente três. Existem, para este método, as variantes lateração circular. 6. e lateração hiperbólica 7 . A questão aqui é como medir as distâncias, já que. estas medidas estão sempre sujeitas a erros de diversas naturezas (incluindo a reflexão em obstáculos no caminho entre o terminal e a estação-base), o que promove um certa diferença em relação às distâncias exatas. Angulação. Também conhecida por Ângulo de Chegada (Angle of Arrival - AoA) e Direção de Chegada (Direction of Arrival - DoA), este é outro método para estimar a posição do alvo considerando as coordenadas de algumas estações-base. Diferentemente da lateração, o parâmetro observado é o ângulo entre o alvo e uma estação-base. O ângulo do sinal de chegada é medido na estação-base e, assim, a posição do alvo fica restringida ao longo de uma reta que intercepta tanto o alvo quanto a estação-base. Considerando o ângulo de uma segunda estação-base, outra reta é definida, e a interseção das duas retas indica a posição do alvo. Assim, teoricamente, apenas duas estações-base são suficientes para obter uma posição num espaço bidimensional. Entretanto, uma má resolução dos sinais produz uma aproximação grosseira dos valores dos ângulos medidos, forçando a utilização de uma terceira estação-base para definir um resultado adequado. Consequentemente, na prática, medidas de ao menos três estações-base são recomendadas para compensar os erros 8 . Cálculo Deduzido. A posição de um alvo pode ser deduzida ou extrapolada a partir de sua última posição conhecida, assumindo que a direção do movimento e/ou a velocidade do alvo ou a distância percorrida são conhecidos. Este método é conhecido como “Cálculo Deduzido” ou “Dead Reckoning” (abreviação do termo original “Deduced Reckoning”) 9 . Obviamente, o ponto crucial no cálculo deduzido é obter a posição inicial, a direção do movimento bem como a distância e a velocidade do alvo. Para a obtenção de cada uma desta grandezas existem diversos métodos e, atualmente, o método é utilizado 6. Métodos de posicionamento baseados em lateração circular em combinação com medidas de tempo são usualmente designados pelo termo Tempo de Chegada (Time of Arrival - ToA). 7 Nas redes celulares, a lateração hiperbólica é conhecida pelo termo Diferença de Tempo de Chegada (Time Diffenrece of Arrival - TDoA). 8 Tem-se, com isso, o popular termo Triangulação. 9 Também há referências ao método “Dead Reckoning” como “Navegação Inercial” (Inertial Navigation) [Kolodziej e Hjelm 2006]..

(35) 3.5 O Problema do Posicionamento. 34. para refinar informações de posição fornecido por GPS para sistemas de navegação veicular com o intuito de manter o fornecimento de instruações de navegação mesmo na ausência do sinal de satélite. No contexto de SBLs, o cálculo deduzido pode ser utilizado, por exemplo, para otimizar a frequência de atualizações de posição a ser processada em um servidor externo, como explica [Walther e Fischer 2002]. Correspondência de Padrão. O processo de posicionamento também pode ser realizado por meio de correspondência de padrões. O objetivo principal dessa técnica é observar um “cenário” onde o posicionamento está sendo aplicado e “tirar conclusões” sobre a posição de um alvo a partir destas observações. Em sua versão óptica 10 (também conhecida como análise de cenário [Barleze 2003]), imagens visuais de um cenário são geradas pela câmera de um observador e comparadas umas com as outras. A posição do alvo pode, então, ser obtida pela comparação das imagens geradas a partir de diferentes posições e diferentes perspectivas, sendo que o alvo pode ser o próprio observador em questão. O reconhecimento de padrões necessário é, em muitos casos, realizado sob uma abordagem assistida por terminal. 11. , na qual o terminal efetua as medidas (captura de. imagens) e transfere os resultados para a rede calcular a posição. A vantagem desta abordagem reside no fato de que, em muitos sistemas, pouca ou nenhuma modificação precisa ser feita nos terminais. Basicamente, é possível implementar qualquer combinação dos métodos de posicionamento apresentados, considerando diversos e diferentes parâmetros para medição com relação a uma posição fixa. A maior motivação para fazer isso é incrementar a precisão e, consequentemente, o resultado a ser retornado durante uma consulta a um SBL, por exemplo. A propósito, uma baixa precisão pode resultar de erros nos parâmetros medidos, cujas origens repousam em diversas fontes, tais como: falta de sincronia de relógios, refrações ionosféricas e troposféricas, ausência de visada direta, propagação por caminhos múltiplos (distorção de sinais), dificuldades de acesso ao meio de transmissão, coordenadas de estação-base imprecisas e má distribuição geométrica das estações-base. Geralmente, estas fontes de erro contribuem em diferentes níveis e magnitudes nos diferentes métodos e infraestruturas de posicionamento. A Tabela 2 [Kütter 2005] apresenta uma visão geral dos diferentes métodos de posicionamento implementados em alguns sistemas e compara os seus modos de operação (at = assitido por terminal, bt = baseado em terminal, br = baseado em rede), o tipo de sinais 10. Na versão não-óptica, o observador coleta e relaciona a potência dos sinais recebidos (received signal strength - RSS), formando um vetor de tais valores chamado fingerprint. 11 Os metodos de posicionamento podem ser implementados sob três modos de operação distindos: assistido por terminal, baseado em terminal e baseado em rede..

(36) 3.5 O Problema do Posicionamento. 35. utilizados, os parâmetros observados e o tipo de rede na qual o método é utilizado. Tabela 2: Visão geral de posicionamento: Satélite, Celular e Ambiente Interno. Nome. Método básico. Modo at bt br. Posicionamento em Satélites GPS Lat. Circular x D-GPS Lat. Circular x Galileo Lat. Circular x Posicionamento em Rede Celular Cell-Id Sens. Proxim.. x. Tipo de sinal. Medida. Rádio Rádio Rádio. Tempo Tempo Tempo. Rádio. Cell-Id (+RTT) tempo Tempo Cell-Id (+RTT+AoA) tempo Tempo tempo tempo. E-OTD U-TDoA Cell-Id. Lat. Hiperb. x x Rádio Lat. Hiperb. x Rádio Sens. Proxim. x Rádio (+Angulação) OTDoA Lat. Hiperb. x x Rádio E-FLT Lat. Hiperb. x Rádio A-FLT Lat. Hiperb. x x Rádio A-GPS Lat. Circular x x Rádio Posicionamento em Ambiente Interno RADAR Corr. Padrão x Rádio Ekahau Corr. Padrão x Rádio Indoor GPS Lat. Circular x Rádio RFID Sens. Proxim. x x x Rádio ActiveBadge Sens. Proxim. x Infra-verm. WIPS Sens. Proxim. x Infra-verm. ActiveBat Lat. Circular x Ultra-som Cricket. Sens. Proxim.. x. Ultra-som. RSS RSS Tempo ID ID ID Tempo ID+Tempo. * Neste contexto, CDMA refere-se à tecnologia cdmaOne/2000.. Tipo de rede. GSM GSM GSM UMTS UMTS CDMA* CDMA* todas WLAN WLAN. WLAN 418 MHz (rádio).

(37) 36. 4. Redes Par-a-Par e Mobilidade. “A rede é o computador.” Sun Microsystems. O termo “par-a-par” (peer-to-peer - P2P) refere-se a um classe de sistemas e aplicações que emprega recursos distribuídos (processamento, armazenamento, informações e largura de banda, dentre outros) para desempenhar uma função de forma descentralizada. A “tecnologia” P2P ganhou visibilidade a partir de 1999 com o emergente compartilhamento de músicas através do programa Napster [Carlsson e Gustavsson 2001], quando passou a ser empregada também como uma importante técnica em diversas áreas, tais como a computação distribuída e colaborativa, incluindo seu uso em redes ad hoc, e até mesmo em sistemas de arquivo distribuídos [Dabek et al. 2001]. Este capítulo apresenta brevemente os principais tópicos relacionados aos Sistemas P2P, fornecendo subsídios para a compreensão de seu funcionamento, bem como apresentando detalhes de seus protocolos de comunicação. Adicionalmente, uma abordagem do ponto de vista da mobilidade permeia os tópicos discutidos, realçando pontos relevantes para usuários móveis, que constituem uma parcela considerável do público alvo dos SBLs..

(38) 4.1 Definições, Benefícios e Desvantagens. 4.1. 37. Definições, Benefícios e Desvantagens. Semelhantemente ao que acontece com o termo SBL, apresentado no capítulo 3, não há uma definição universalmente aceita para Sistemas P2P. Entretanto, pode-se considerar consenso a capacidade/finalidade de “compartilhamento de recursos”. Algumas características comuns a todos os sistemas P2P podem ser apontadas: • Um ‘par’ é um computador que pode atuar tanto como servidor quanto como cliente; • Um sistema P2P é constituído de pelo menos dois pares; • Os pares devem ser capazes de “trocarem recursos” entre si diretamente; • Servidores dedicados (isto é, que não exercem o papel de clientes) podem estar presentes no sistema, porém apenas para auxiliar os clientes a descobrirem uns aos outros; • Os pares podem entrar no sistema e/ou deixá-lo livremente; • Os pares podem pertencer a diferentes donos. Apesar das controvérsias, [Lv et al. 2002] apresenta a seguinte classificação para as arquiteturas P2P: Centralizada. Um diretório de informações é constantemente atualizado em uma “localização central”. Os nós da rede P2P consultam o servidor desse diretório central para descobrir em quais nós encontram-se as informações desejadas. Essa abordagem centralizada não é escalável e o diretório central apresenta-se como um ponto de falha. Descentraliza, porém Estruturada. Esses sistemas não possuem um servidor de diretório central (arquitetura descentralizada), entretanto, sua estrutura bem definida permite um eficiente controle tanto da topologia da rede P2P quanto da localização dos recursos distribuídos por esta rede. Apesar de predominarem na literatura pesquisada, tais redes são praticamente inexistentes em termos de implementação efetiva. Assim, é difícil predizer como tais estruturas trabalhariam na presença de uma população de nós extremamente transitórios, comportamento que parece caracterizar os usuários de redes P2P. Descentraliza e Desestruturada. Existem sistemas que não dependem de um diretório centralizado, nem tão pouco possuem qualquer controle preciso sobre a topologia.